計算機(jī)網(wǎng)絡(luò)技術(shù)畢業(yè)論文范文

河南職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計〔論文〕題目:上峰企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計與實施 系〔分院〕：信息工程系學(xué)生姓名：趙春雷學(xué)號：09123563專業(yè)名稱：計算機(jī)網(wǎng)絡(luò)技術(shù)指導(dǎo)教師：譚營軍2021年4月19日

河南職業(yè)技術(shù)學(xué)院信息工程系畢業(yè)設(shè)計〔論文〕任務(wù)書姓名趙春雷專業(yè)計算機(jī)網(wǎng)絡(luò)技術(shù)班級網(wǎng)絡(luò)平安091畢業(yè)設(shè)計〔論文〕題目上峰企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計與實施畢業(yè)設(shè)計〔論文〕選題的目的與意義實現(xiàn)全網(wǎng)的互聯(lián)互通，可以保證企業(yè)網(wǎng)絡(luò)內(nèi)人員的正常運(yùn)作，是正常工作、學(xué)習(xí)、娛樂的根底。實現(xiàn)網(wǎng)絡(luò)間資源分享。綜合性考驗所學(xué)知識。更加深入學(xué)習(xí)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、VLAN劃分與IP分配的相關(guān)知識。畢業(yè)設(shè)計〔論文〕的資料收集情況〔含指定參考資料〕WendellOdom.CCNPROUTE認(rèn)證考試指南孫曉楠：?網(wǎng)絡(luò)儲存于數(shù)據(jù)備份?思科網(wǎng)絡(luò)技術(shù)學(xué)院教程畢業(yè)設(shè)計〔論文〕工作進(jìn)度方案2021年11月確定所做課題名稱：上峰企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計與實施2021年12月至2021年2月主要搜集資料，主要包括局域網(wǎng)組建、VLAN劃分等2021年3月首先確定了根本的網(wǎng)絡(luò)拓?fù)?，然后在PT練習(xí)搭建環(huán)境2021年4月完成VLAN劃分、OSPF、RIP、ACL、VTP配置接受任務(wù)日期2021年11月17日要求完成日期2021年4月19日學(xué)生簽名：年月日指導(dǎo)教師簽名：年月日系〔分院〕主任〔院長〕簽名：年月日畢業(yè)設(shè)計〔論文〕指導(dǎo)教師評閱意見表姓名趙春雷學(xué)號09123563性別男專業(yè)計算機(jī)網(wǎng)絡(luò)技術(shù)班級網(wǎng)絡(luò)平安091畢業(yè)設(shè)計〔論文〕題目上峰企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計與實施評閱意見成績指導(dǎo)教師簽字年月日

畢業(yè)設(shè)計〔論文〕辯論意見表姓名趙春雷學(xué)號09123563性別男專業(yè)計算機(jī)網(wǎng)絡(luò)技術(shù)班級網(wǎng)絡(luò)平安091畢業(yè)設(shè)計〔論文〕題目上峰企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計與實施辯論時間地點(diǎn)辯論小組成員姓名職稱學(xué)歷從事專業(yè)組長成員秘書答辯小組意見答辯成績：辯論小組組長簽名：年月日

上峰企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計與實施摘要：當(dāng)今IT社會環(huán)境下，企業(yè)對網(wǎng)絡(luò)的依賴及需求尤其是需要一個平安的網(wǎng)絡(luò)環(huán)境，上峰公司需要設(shè)計出符合IT開展的網(wǎng)絡(luò)來加強(qiáng)信息化管理，通過需求分析與調(diào)研、利用路由技術(shù)、鏈路聚合技術(shù)、及其他相關(guān)技術(shù)分別進(jìn)行了總體設(shè)計和詳細(xì)設(shè)計，最后使用PT模擬器實現(xiàn)了網(wǎng)絡(luò)根底架構(gòu)的主要局部，同時也分析設(shè)計了網(wǎng)絡(luò)的今本平安架構(gòu)，通過測試，整體設(shè)計方案良好。關(guān)鍵詞：網(wǎng)絡(luò)平安，IT，PT，管理

目錄TOC\o"1-2"\h\u6568第1章上峰企業(yè)網(wǎng)絡(luò)背景 238251.1上峰企業(yè)背景 2256381.2需求和功能分析 222732第2章關(guān)鍵技術(shù) 391442.1路由技術(shù) 3305352.2交換技術(shù) 348172.3VLAN技術(shù) 392152.4遠(yuǎn)程訪問技術(shù) 315999鏈路聚合技術(shù) 425554第3章網(wǎng)絡(luò)總體設(shè)計 6271073.1企業(yè)網(wǎng)布網(wǎng)原那么 69173.2從幾個方面考慮企業(yè)內(nèi)網(wǎng)組網(wǎng)因素 651183.3初步確定網(wǎng)絡(luò)拓?fù)鋱D 8263013.4IP地址規(guī)劃 919773第4章網(wǎng)絡(luò)拓?fù)鋵崿F(xiàn)和規(guī)劃 11321124.1網(wǎng)絡(luò)系統(tǒng)解釋 114974.2使用設(shè)備清單 13134604.3網(wǎng)絡(luò)設(shè)備配置 147660第5章網(wǎng)絡(luò)測試聯(lián)通性 20227965.1采用認(rèn)證方式接入的驗證 2044475.2采用局域網(wǎng)接入的驗證 2132193總結(jié) 23前言上峰企業(yè)網(wǎng)絡(luò)的設(shè)計目的簡而言之是將各種不同應(yīng)用的信息資源通過高性能的網(wǎng)絡(luò)設(shè)備相互連接起來，形成企業(yè)內(nèi)部的Intranet系統(tǒng)，對外通過路由設(shè)備接入廣域網(wǎng)。具體而言這樣的設(shè)計目標(biāo)應(yīng)該是：建設(shè)一個以辦公自動化、計算機(jī)輔助辦公、現(xiàn)代計算機(jī)辦公為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托、技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、覆蓋企業(yè)主要員工的企業(yè)主干網(wǎng)絡(luò)，將企業(yè)的各種PC機(jī)工作站、終端設(shè)備和局域網(wǎng)連接起來，并與有關(guān)廣域網(wǎng)相連。系統(tǒng)總體設(shè)計本著總體規(guī)劃、分布實施的原那么，充分表達(dá)系統(tǒng)的技術(shù)先進(jìn)性、高度的平安可靠性。企業(yè)網(wǎng)建設(shè)內(nèi)容：網(wǎng)絡(luò)系統(tǒng)設(shè)計思想是采用層次體系，整個網(wǎng)絡(luò)通過主干網(wǎng)連接起來，各個子網(wǎng)通過接口與主干網(wǎng)連接，實現(xiàn)各自的功能，在子網(wǎng)內(nèi)部及與主干網(wǎng)進(jìn)行數(shù)據(jù)通信。技術(shù)方案設(shè)計應(yīng)用信息系統(tǒng)資源建設(shè)。技術(shù)方案設(shè)計主要包括：結(jié)構(gòu)化布線與設(shè)備選擇、網(wǎng)絡(luò)技術(shù)選型等；應(yīng)用信息系統(tǒng)資源建設(shè)主要包括：內(nèi)部信息資源建設(shè)、外部信息資源建設(shè)等。隨著城域網(wǎng)寬帶業(yè)務(wù)的開展，可運(yùn)營、可管理的網(wǎng)絡(luò)建設(shè)理念已經(jīng)深入人心。市場方面，隨著提供業(yè)務(wù)的多樣化，用戶認(rèn)證方式作為可運(yùn)營、可管理的核心，受到包括運(yùn)營商、制造商的密切關(guān)注。第1章上峰企業(yè)網(wǎng)絡(luò)背景上峰企業(yè)背景上峰公司現(xiàn)有300個結(jié)點(diǎn)，需要建設(shè)一個小型網(wǎng)絡(luò)以實現(xiàn)該企業(yè)內(nèi)部的相互通信和與外部的聯(lián)系，通過該網(wǎng)絡(luò)提高企業(yè)的開展和企業(yè)內(nèi)部辦公的信息化、辦公自動化。該企業(yè)有15個部門，那么需要讓這15個部門能夠通過該網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)，并能實現(xiàn)部門之間信息化的合作。所以該網(wǎng)絡(luò)的必須表達(dá)辦公的方便性、迅速性、高效性、可靠性、科技性、資源共享、相互通信、信息發(fā)布及查詢等功能，以作為支持企業(yè)內(nèi)部辦公自動化、供給鏈管理以及各應(yīng)用系統(tǒng)運(yùn)行的根底設(shè)施。需求和功能分析該網(wǎng)絡(luò)是一個單核心的網(wǎng)絡(luò)結(jié)構(gòu)〔拓?fù)浣Y(jié)構(gòu)如圖1所示〕，采用典型的三層結(jié)構(gòu)，核心、會聚、接入。各部門獨(dú)立成區(qū)域，防止個別區(qū)域發(fā)生問題，影響整個網(wǎng)的穩(wěn)定運(yùn)行，假設(shè)某會聚交換機(jī)發(fā)生問題只會影響到某幾個部門，該網(wǎng)絡(luò)使用VLAN進(jìn)行隔離，方便員工調(diào)換部門。核心交換機(jī)連接三臺會聚交換機(jī)對所有數(shù)據(jù)進(jìn)行接收并分流，所以該設(shè)備必須是高質(zhì)量、功能具全，責(zé)任重大，通過高速轉(zhuǎn)發(fā)通信，提高優(yōu)化的，可靠的傳輸結(jié)構(gòu)。核心層應(yīng)該盡快地交換分組。該設(shè)備不承當(dāng)訪問列表檢查、數(shù)據(jù)加密、地址翻譯或者其他影響的最快速率分組的任務(wù)。會聚層交換機(jī)位于接入層和核心層之間，該網(wǎng)絡(luò)有三臺會聚層交換機(jī)分擔(dān)15個部門，能幫助定義和別離核心。該層的設(shè)備主要目的是提供一個邊界的定義，以在其內(nèi)進(jìn)行分組處理。該層將網(wǎng)絡(luò)分段為多個播送域。該問控制列表可以實施策略并過濾分組。會聚層將網(wǎng)絡(luò)問題限制在發(fā)生問題的工作組內(nèi)，防止這些問題影響到核心層。該層的交換機(jī)運(yùn)行在第二層和第三層上。接入層為網(wǎng)絡(luò)提供通信，并且實現(xiàn)網(wǎng)絡(luò)入口控制。最終用戶通過接入層訪問網(wǎng)絡(luò)的。作為網(wǎng)絡(luò)的“前門〞，接入層交換機(jī)使用訪問列表以阻止非授權(quán)的用戶進(jìn)入網(wǎng)絡(luò)。第2章關(guān)鍵技術(shù)路由技術(shù)路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時選擇最正確路徑的能力。除了可以完成主要的路由任務(wù)，利用訪問控制列表〔AccessControlList，ACL〕，路由器還可以用來完成以路由器為中心的流量控制和過濾功能。在本工程案例設(shè)計中，內(nèi)網(wǎng)用戶不僅通過路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過3層交換機(jī)上的路由功能進(jìn)行數(shù)據(jù)包交換。本設(shè)計將要在核心層路由設(shè)備上對采用生成樹協(xié)議、訪問控制列表以及CHAP認(rèn)證等。交換技術(shù)現(xiàn)代交換技術(shù)還實現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了企業(yè)網(wǎng)數(shù)據(jù)交換的效率，大大增強(qiáng)了企業(yè)網(wǎng)數(shù)據(jù)交換效勞質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。VLAN技術(shù)虛擬局域網(wǎng)〔VirtualLAN，VLAN〕技術(shù)：，VLAN將播送域限制在單個VLAN內(nèi)部，減小了各VLAN間主機(jī)的播送通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術(shù)來實現(xiàn)。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時，可以使用VLAN中繼協(xié)議〔VLANTrunkingProtocol，VTP〕簡化管理，它只需在單獨(dú)一臺交換機(jī)上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。遠(yuǎn)程訪問技術(shù)遠(yuǎn)程訪問也是企業(yè)網(wǎng)絡(luò)必須提供的效勞之一。遠(yuǎn)程訪問技術(shù)：它可以為辦公用戶和客戶遠(yuǎn)程訪問企業(yè)網(wǎng)站獲取信息效勞。遠(yuǎn)程訪問有三種可選的效勞類型：專線連接、電路交換和包交換。在本工程案例設(shè)計中，采用專線連接〔到因特網(wǎng)〕和電路交換〔到企業(yè)網(wǎng)〕兩種方式實現(xiàn)遠(yuǎn)程訪問需求。鏈路聚合技術(shù)鏈路聚合〔PortTrunking〕技術(shù)，支持IEEE802.3協(xié)議，是一種用在交換機(jī)與交換機(jī)之間擴(kuò)大通信吞吐量、提高可靠性的技術(shù)，也稱為骨干連接。當(dāng)兩臺核心層交換機(jī)采用聚合鏈路PortTrunking技術(shù)后，該技術(shù)可以使交換機(jī)之間連接最多4條負(fù)載均衡的冗余連接。當(dāng)某一臺核心交換機(jī)出現(xiàn)故障或核心交換機(jī)與接入層/會聚層交換機(jī)的某一條互聯(lián)線路出現(xiàn)故障時，系統(tǒng)將通信業(yè)務(wù)快速自動切換到另一臺正常工作的核心層交換機(jī)上，以使整個網(wǎng)絡(luò)具備高容量、無阻塞、高可靠的能力。作為一個較為完整的企業(yè)網(wǎng)實現(xiàn)，路由、交換與遠(yuǎn)程訪問技術(shù)缺一不可。在后面的內(nèi)容中，我們將就每一技術(shù)領(lǐng)域的常用技術(shù)的實現(xiàn)進(jìn)行詳細(xì)的討論。

第3章網(wǎng)絡(luò)總體設(shè)計企業(yè)網(wǎng)布網(wǎng)原那么根據(jù)電信信息化住宅小區(qū)用戶業(yè)務(wù)的開展情況和開展規(guī)劃，本著“經(jīng)濟(jì)適用、合理預(yù)留〞的原那么，配線電纜應(yīng)滿足用戶通信需求，線路容量應(yīng)足終期用戶業(yè)務(wù)開展要求；為了最大限度的減少投資，設(shè)計的配線電纜路由應(yīng)充分考慮終期敷設(shè)電纜線路的需要；配線電纜設(shè)計應(yīng)滿足原郵電部及信息產(chǎn)業(yè)部相關(guān)設(shè)計標(biāo)準(zhǔn)和技術(shù)資料的規(guī)定。從幾個方面考慮企業(yè)內(nèi)網(wǎng)組網(wǎng)因素網(wǎng)絡(luò)技術(shù)選型在企業(yè)網(wǎng)網(wǎng)絡(luò)的建設(shè)中，主干網(wǎng)選擇何種網(wǎng)絡(luò)技術(shù)對網(wǎng)絡(luò)建設(shè)的成功與否起著決定性的作用。選擇適合企業(yè)網(wǎng)絡(luò)需求特點(diǎn)的主流網(wǎng)絡(luò)技術(shù)，不但能保證網(wǎng)絡(luò)的高性能，還能保證網(wǎng)絡(luò)的先進(jìn)性和擴(kuò)展性，能夠在未來向更新技術(shù)平滑過度，保護(hù)用戶的投資。所以要根據(jù)實際應(yīng)用的需要，采用千兆以太網(wǎng)作為企業(yè)網(wǎng)的主干網(wǎng)，因為作為整個企業(yè)網(wǎng)的信息交換中心，網(wǎng)絡(luò)的速度會直接影響到其他各子網(wǎng)的性能;在建設(shè)多媒體教室時，由于網(wǎng)絡(luò)中將會有很多的圖像和聲音的傳輸，因此對帶寬和傳輸速度有很高的要求，采用快速以太網(wǎng)就是最好的選擇；而對于其他一些只有諸如簡單文件傳輸之類的應(yīng)用的環(huán)境，采用以太網(wǎng)就能滿足要求。不同網(wǎng)絡(luò)技術(shù)的復(fù)雜程度，在一定程度上直接影響企業(yè)網(wǎng)的維護(hù)、管理和使用效果。千兆以太網(wǎng)繼承了以太網(wǎng)的技術(shù)簡單，容易學(xué)習(xí)掌握的特點(diǎn)，是企業(yè)網(wǎng)的首選技術(shù)。網(wǎng)絡(luò)核心設(shè)備的選擇骨干帶寬的選擇。網(wǎng)絡(luò)應(yīng)用的增加對網(wǎng)絡(luò)帶寬提出了直接的需求。事實上，從1983年802.3標(biāo)準(zhǔn)的正是成立開始，以太網(wǎng)技術(shù)經(jīng)過20年的開展，已進(jìn)入萬兆以太網(wǎng)〔802.3ae標(biāo)準(zhǔn)〕的時代。企業(yè)網(wǎng)絡(luò)應(yīng)用也是極其豐富的。并且隨著組播技術(shù)在企業(yè)的應(yīng)用，企業(yè)網(wǎng)核心層將面臨嚴(yán)峻的考驗。出于對網(wǎng)絡(luò)開展的考慮，基于網(wǎng)絡(luò)業(yè)務(wù)的開展，在擁有近萬個信息點(diǎn)的企業(yè)采用萬兆以太網(wǎng)技術(shù)構(gòu)建核心層是可行的。目前業(yè)務(wù)還沒完全開展起來，先采用千兆骨干，但核心設(shè)備必須支持萬兆，并且在教育行業(yè)有應(yīng)用，證明核心產(chǎn)品的成熟性和穩(wěn)定性。在實現(xiàn)端到端的以太網(wǎng)訪問的同時提高了傳輸?shù)男?，有效地保證了多媒體辦公、作業(yè)等業(yè)務(wù)的開展。處理能力核心層是網(wǎng)絡(luò)高速交換的骨干，被設(shè)計成盡可能高速包轉(zhuǎn)發(fā)率，同時能夠提供高速的Internet的接入和高冗余性能，同時由于各企業(yè)根本采用了Internet和CERNET雙出口，而且出口的速率不同，所以所選擇的網(wǎng)絡(luò)核心層設(shè)備應(yīng)該能夠提供多網(wǎng)絡(luò)出口的智能選擇的功能，本身能夠提供冗余特性。核心層設(shè)備須能夠支持多種不同模塊的插槽和提供多種不同的網(wǎng)絡(luò)模塊，支持到流媒體所需的網(wǎng)絡(luò)的組播協(xié)議和網(wǎng)絡(luò)的多播協(xié)議的處理能力，需要線速的數(shù)據(jù)轉(zhuǎn)發(fā)和數(shù)據(jù)交換功能，即高背板帶寬支持和高性能網(wǎng)絡(luò)處理芯片的支持；由于是核心設(shè)備，還必須考慮整體網(wǎng)絡(luò)的災(zāi)難備份和設(shè)備冗余，在設(shè)計中考慮的設(shè)備冗余需要有設(shè)備支持和協(xié)議支持，設(shè)備支持就是指在核心不能由單臺設(shè)備進(jìn)行整個網(wǎng)絡(luò)的數(shù)據(jù)交換，需要有至少兩臺設(shè)備對整個網(wǎng)絡(luò)進(jìn)行有效的支撐，并已經(jīng)具備災(zāi)難備份的硬件支撐能力。在協(xié)議上，需要支持冗余協(xié)議實現(xiàn)整體網(wǎng)絡(luò)冗余。支持在單臺設(shè)備失效的同時，在最短的時間切換，防止網(wǎng)絡(luò)損失。對于核心交換機(jī)在整個網(wǎng)絡(luò)的設(shè)計，還要考慮整體業(yè)務(wù)的支撐方式，因為設(shè)備只是物理承載層面，而用戶需要在該物理層面實現(xiàn)其業(yè)務(wù)，到達(dá)職能和流程的有效快捷，這樣，物理設(shè)備的業(yè)務(wù)支撐能力就至關(guān)重要。核心設(shè)備應(yīng)提供分布式L2/3/4層接口板處理應(yīng)用流〔視頻、話音、數(shù)據(jù)〕、重要用戶的優(yōu)先級，支持NAT、MPLS、VPN、策略路由等應(yīng)用；支持基于端口、MAC、VLAN、IP、應(yīng)用類型等多種Qos；支持四個優(yōu)先級隊列和WRED、WRR、PQ、WFQ等流分類、排隊、調(diào)度和整形機(jī)制。賦予交換機(jī)高度的智能性，高效支持各種應(yīng)用業(yè)務(wù)。對于核心設(shè)備在網(wǎng)絡(luò)中的舉足輕重的位置，平安對于整個網(wǎng)絡(luò)來說也整個網(wǎng)絡(luò)的至關(guān)重要的，對于外部的黑客攻擊和內(nèi)部的病毒攻擊的屏蔽，是保證整個網(wǎng)絡(luò)運(yùn)行的關(guān)鍵。核心設(shè)備要提供完善的ACL訪問控制策略的定制，防止非法內(nèi)容的訪問；播送包抑制及播送源定位功能，保證網(wǎng)絡(luò)用戶平安。對于未來的擴(kuò)展設(shè)計對于在中心位置的核心設(shè)備的設(shè)計而言，隨著時代的改變，其業(yè)務(wù)結(jié)構(gòu)和規(guī)模也會改變，這樣需要整個網(wǎng)絡(luò)設(shè)備能夠?qū)ξ磥淼淖兓邆鋺?yīng)對措施；由于核心設(shè)備是數(shù)據(jù)和業(yè)務(wù)的核心，所以，不能輕易的進(jìn)行更換，同時，考慮到本錢的因素，除非核心設(shè)備已經(jīng)完全不能支撐目前業(yè)務(wù)的進(jìn)行，否那么，根本都會采取在原來的設(shè)備增加功能支撐來滿足新業(yè)務(wù)的需求。這樣，對于未來的擴(kuò)展性就變得異常重要，核心設(shè)備擴(kuò)展槽，接插模塊類型，端口密度數(shù)應(yīng)有所考慮，以保證整體設(shè)備的高性價比。平安方案的部署從各企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析，目前面臨的網(wǎng)絡(luò)平安威脅來源主要來自以下幾個方面：一是來自Internet的平安威脅，各企業(yè)有自己獨(dú)立的鏈路通往Internet。Internet上的任意接入點(diǎn)對本局域網(wǎng)發(fā)起的基于網(wǎng)絡(luò)的攻擊，從以及對外公開的應(yīng)用效勞器的攻擊，這樣可以造成網(wǎng)絡(luò)性能的急劇下降，應(yīng)用效勞器的癱瘓。使整體網(wǎng)絡(luò)正常的內(nèi)、外雙向通信、存儲等效勞受阻或中斷。二是來自企業(yè)局域網(wǎng)內(nèi)部的惡意平安攻擊，網(wǎng)絡(luò)連接員工的計算機(jī)，員工有可能基于學(xué)習(xí)的目的可能使用各種入侵的軟件，給系統(tǒng)造成隱含的威脅。三是企業(yè)內(nèi)各相關(guān)部門的數(shù)據(jù)上報采用FTP方式逐級復(fù)制，處于完全敞開和透明的模式，只要掌握IP地址，傳輸數(shù)據(jù)就可以被輕易截獲，從而造成保密信息的泄露；再有來自操作系統(tǒng)、應(yīng)用系統(tǒng)本身的漏洞及來自互聯(lián)網(wǎng)、內(nèi)部局域網(wǎng)的病毒平安威脅的攻擊。企業(yè)范圍內(nèi)的病毒防護(hù)不能依靠個人的自覺性，應(yīng)當(dāng)從網(wǎng)關(guān)、效勞器、客戶端多個層面來統(tǒng)一部署，實施整體病毒防護(hù)解決方案。這樣才能從根本上降低病毒的發(fā)作和傳播幾率，有效地保護(hù)企業(yè)內(nèi)部資源，同時對新出現(xiàn)的病毒有一個很好的、快速的響應(yīng)系統(tǒng)。作為企業(yè)網(wǎng)絡(luò)平安的防線，防火墻、入侵檢測、防病毒系統(tǒng)是必不可少的，它可有效的對來自外網(wǎng)和內(nèi)網(wǎng)的攻擊做出及時告警，并給予一定的響應(yīng)措施。初步確定網(wǎng)絡(luò)拓?fù)鋱D在用戶管理、計費(fèi)方面，要保證計費(fèi)數(shù)據(jù)的準(zhǔn)確，交換機(jī)可以支持用戶賬號、IP地址、MAC地址、交換機(jī)端口、VLAN的綁定，保證了用戶上網(wǎng)期間IP地址不被盜用，支持基于流量/時長/包月/帶寬的計費(fèi)及其組合計費(fèi)方式。在用戶日志管理方面，業(yè)務(wù)管理平臺和接入交換機(jī)配置可以實現(xiàn)完善的用戶日志功能。用戶訪問日志的內(nèi)容包括用戶名、源MAC、VLANID、源IP、目的IP、訪問時間。用戶的目的IP地址改變時會產(chǎn)生一條日志。根據(jù)這些信息可以很方便的定位用戶在某個時間段訪問了那些內(nèi)部效勞器，與效勞器的日志相對應(yīng)追查出一些事故的責(zé)任人。在網(wǎng)絡(luò)管理方面，網(wǎng)絡(luò)管理軟件支持多種操作平臺，并能夠與多種通用網(wǎng)管平臺集成，實現(xiàn)從設(shè)備級到網(wǎng)絡(luò)級全方位的網(wǎng)絡(luò)管理。提供統(tǒng)一拓?fù)浒l(fā)現(xiàn)功能，實現(xiàn)全網(wǎng)監(jiān)控，可以實時監(jiān)控所有設(shè)備的運(yùn)行狀況，并根據(jù)網(wǎng)絡(luò)運(yùn)行環(huán)境變化提供適宜的方式對網(wǎng)絡(luò)參數(shù)進(jìn)行配置修改，保證網(wǎng)絡(luò)以最優(yōu)性能正常運(yùn)行。模型見圖3-1圖3-1初步確認(rèn)網(wǎng)絡(luò)拓?fù)銲P地址劃分為什么要做好IP地址規(guī)劃在網(wǎng)絡(luò)規(guī)劃中，IP地址方案的設(shè)計至關(guān)重要，好的IP地址方案不僅可以減少網(wǎng)絡(luò)負(fù)荷，還能為以后的網(wǎng)絡(luò)擴(kuò)展打下良好的根底。IP地址用于在網(wǎng)絡(luò)上標(biāo)識唯一一臺機(jī)器。根據(jù)RFC791的定義，IP地址由32位二進(jìn)制數(shù)組成(四個字節(jié))，表示為用圓點(diǎn)分成每組3位的12位十進(jìn)制數(shù)字(xxx.xxx.xxx.xxx)每個3位數(shù)代表8位二進(jìn)制數(shù)(一個字節(jié))。由于1個字節(jié)所能表示的最大數(shù)為255，因此IP地址中每個字節(jié)可含有0～255之間的值。但0和255有特殊含義，255代表播送地址：IP地址中0用于指定網(wǎng)絡(luò)地址號(假設(shè)0在地址末端)或結(jié)點(diǎn)地址(假設(shè)0在地址開始)。子網(wǎng)掩碼用于找出IP地址中網(wǎng)絡(luò)及結(jié)點(diǎn)地址局部。子網(wǎng)掩碼長32位，其中1表示網(wǎng)絡(luò)局部，0表示結(jié)點(diǎn)地址局部。A類，B類，C類網(wǎng)絡(luò)的子網(wǎng)掩碼見表3，如一個結(jié)點(diǎn)IP地址為95，子網(wǎng)掩碼，表示其網(wǎng)絡(luò)地址為192.168.202，結(jié)點(diǎn)地址為195。有時為了方便網(wǎng)絡(luò)管理，需要將網(wǎng)絡(luò)劃分為假設(shè)干個網(wǎng)段。為此，必須打破傳統(tǒng)的8位界限，從結(jié)點(diǎn)地址空間中“搶來〞幾位作為網(wǎng)絡(luò)地址。具體說來，建立子網(wǎng)掩碼需要以下兩步：確定運(yùn)行IP的網(wǎng)段數(shù)，確定子網(wǎng)掩碼。設(shè)計IP地址方案在設(shè)計IP地址方案之前，考慮到以下幾個問題：是否將網(wǎng)絡(luò)連入Internet，是否將網(wǎng)絡(luò)劃分為假設(shè)干網(wǎng)段以方便網(wǎng)絡(luò)管理，是采用靜態(tài)IP地址分配還是動態(tài)IP地址分配方案將網(wǎng)絡(luò)連入Internet，那么需要向ISP申請一個網(wǎng)絡(luò)地址。這里，我們假定得到了一個C類網(wǎng)絡(luò)地址。本設(shè)計采用pppoe認(rèn)證自動分配的動態(tài)IP地址,具體如下，RRISSe0/2/0：1FFa0/1：PPPOE接口，不適用SSF第4章網(wǎng)絡(luò)拓?fù)鋵崿F(xiàn)和規(guī)劃考慮到以上所述企業(yè)網(wǎng)絡(luò)的各個部門的復(fù)雜性，把企業(yè)網(wǎng)絡(luò)整體上劃分為兩大局部，一局部采用PPPOE接入有效地防止局域網(wǎng)病毒的擴(kuò)展，并為以后的管理提供了巨大的便利；另一局部采用局域網(wǎng)接入，加上access控制列表和VLAN劃分確保網(wǎng)絡(luò)可靠穩(wěn)定。網(wǎng)絡(luò)拓?fù)淙缦聢D4-1網(wǎng)絡(luò)拓?fù)淇傆[網(wǎng)絡(luò)系統(tǒng)解釋主干網(wǎng)設(shè)計隨著企業(yè)網(wǎng)用戶數(shù)目與新的應(yīng)用需求不斷增加，特別是網(wǎng)上多媒體及遠(yuǎn)程教育應(yīng)用的展開，對企業(yè)網(wǎng)主干帶寬提出了新的更高的要求，因此希望：新的主干設(shè)備應(yīng)能滿足10，000用戶接入訪問的要求。支持IP多目播送與效勞質(zhì)量〔QOS〕或效勞類型(COS)，滿足遠(yuǎn)程教育的需要。支持虛擬網(wǎng)絡(luò)〔VLAN〕。網(wǎng)管軟件應(yīng)具備對接入層交換設(shè)備進(jìn)行遠(yuǎn)程可操作的能力〔如在網(wǎng)絡(luò)中心對接入交換機(jī)進(jìn)行針對端口IP過濾條件的遠(yuǎn)程設(shè)置〕。本設(shè)計中PC100鏈接交換機(jī)鏡像端口，在本機(jī)上可以安裝協(xié)議分析軟件對網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行分析，監(jiān)控和管理網(wǎng)絡(luò)的運(yùn)行情況。拓?fù)浣Y(jié)構(gòu)設(shè)計星形拓?fù)浣Y(jié)構(gòu)：星型拓補(bǔ)結(jié)構(gòu)的每個節(jié)點(diǎn)都有一條單獨(dú)的鏈路與中心節(jié)點(diǎn)相連,所有數(shù)據(jù)都要通過中心節(jié)點(diǎn)進(jìn)行交換，因此中心節(jié)點(diǎn)是星型網(wǎng)絡(luò)的核心。星型網(wǎng)絡(luò)也采用播送傳輸技術(shù)，局域網(wǎng)的中心節(jié)點(diǎn)設(shè)備通常采用交換機(jī)或Hub。在交換機(jī)中，每個端口都掛接在內(nèi)部背板總線上，因此，星型以太網(wǎng)雖然在物理上呈星型拓補(bǔ)結(jié)構(gòu)，但邏輯上任然是總線型拓補(bǔ)結(jié)構(gòu)，因此，該企業(yè)網(wǎng)網(wǎng)絡(luò)拓補(bǔ)示意圖中也將星型網(wǎng)絡(luò)簡單地畫為總線形式。如圖4-2所示基層網(wǎng)絡(luò)拓?fù)鋸暮诵膶拥綍蹖咏粨Q機(jī)圖4-2星形拓?fù)浣Y(jié)構(gòu)展示分層化設(shè)計為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，在企業(yè)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)行的。企業(yè)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次：接入層、聚集層、核心層。在本工程案例設(shè)計中，也將采用這三層進(jìn)行分開設(shè)計、配置?？紤]到地理位置和效勞點(diǎn)等因素，將網(wǎng)絡(luò)中心設(shè)在實驗樓，以實驗樓為中心，用光纖連接到其它建筑物，考慮到地理位置和效勞點(diǎn)等因素，企業(yè)網(wǎng)光纖主干通過DDN專線將整個企業(yè)網(wǎng)連入教育科研網(wǎng)CERNET，即連入國際互聯(lián)網(wǎng)，同時接入電信網(wǎng)。網(wǎng)絡(luò)結(jié)構(gòu)分成三層：核心層、會聚層、接入層?？紤]傳輸高速率和擴(kuò)展的需求，企業(yè)網(wǎng)整體采用光線傳輸。核心層雙中心星形拓?fù)涞膬?yōu)點(diǎn)是邏輯結(jié)構(gòu)較為簡單，實現(xiàn)設(shè)備也可以很好的進(jìn)行網(wǎng)絡(luò)負(fù)載均衡。PortTrunking技術(shù)提高互聯(lián)交換機(jī)的吞吐量，使得整個網(wǎng)絡(luò)具備高容量、無阻塞、高性能的能力。聚集層主要功能是會聚網(wǎng)絡(luò)流量，鏈路聚合、路由聚合，信號中繼，負(fù)責(zé)將訪問層交換機(jī)進(jìn)行聚集，還為整個交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能。接入層：接入層利用VLAN劃分等技術(shù)隔離網(wǎng)絡(luò)播送風(fēng)暴，提高網(wǎng)絡(luò)效率，為所有的終端用戶提供一個接入點(diǎn)。網(wǎng)絡(luò)設(shè)計的層次可如圖1-1所示：以上特點(diǎn)分層網(wǎng)絡(luò)結(jié)構(gòu)可以獲得良好的擴(kuò)展性，根據(jù)實際需求，整個企業(yè)網(wǎng)采用星型結(jié)構(gòu)，并分為核心層〔分布于網(wǎng)管中心內(nèi)〕和訪問層〔分布在各宿舍樓、辦公樓內(nèi),包括分布廣泛的各種低端網(wǎng)絡(luò)連接/交換設(shè)備及各種終端設(shè)備〕二層。網(wǎng)絡(luò)冗余設(shè)計由于企業(yè)網(wǎng)絡(luò)規(guī)模巨大、涉及到的用戶很多，如果網(wǎng)絡(luò)特別是骨干網(wǎng)絡(luò)出現(xiàn)任何的問題將導(dǎo)致很大的不良影響，因此對網(wǎng)絡(luò)的可靠性和可用性要求很高。網(wǎng)絡(luò)的冗余設(shè)計除了選擇具有冗余設(shè)計的網(wǎng)絡(luò)設(shè)備外，網(wǎng)絡(luò)的冗余設(shè)計也十分重要，可是，冗余設(shè)計造價“不菲〞且似乎“不是很有用〞，一般都做在主干網(wǎng)絡(luò)或者對網(wǎng)絡(luò)要求比擬高的特殊用戶群之上。本設(shè)計做了干線冗余。如圖4-3所示：圖4-3主干網(wǎng)絡(luò)冗余〔通過最短路徑優(yōu)先級來進(jìn)行網(wǎng)絡(luò)傳輸〕使用設(shè)備清單接入層：cisco2950系列24端口交換機(jī)，如圖4-4所示圖4-4cisco295024口交換機(jī)會聚層：cisco2950系列24端口交換機(jī)，如圖4-5所示圖4-5cisco295024口交換機(jī)核心層：cisco2960系列交換機(jī)、2800路由器，如圖4-6所示圖4-6cisco7206VXR,2800路由器網(wǎng)絡(luò)設(shè)備配置關(guān)于radius效勞器認(rèn)證的配置usernameuser1passwordcisco1//添加用戶名與密碼，在radius效勞器建立之前調(diào)試vpdnenable//開啟PPPOEvpdn-group1//建立PPPOE的撥號組accept-dialin//接受撥號protocolpppoe//協(xié)議為PPPOEvirtual-template1//創(chuàng)立虛擬模板interfaceVirtual-Template1ipunfa0/1//將fa0/1端口ip綁定到虛擬模板peerdefaultipaddresspoolschool//指定對端IP從地址池school中獲取pppauthenticationchap//設(shè)置使用CHAP認(rèn)證intfa0/1pppoeen//開啟PPPOEaaanew-model//開啟AAA認(rèn)證radius-serverhostkeycisco//配置RADIUS效勞器地址和密鑰〔與效勞器一致〕ipradiussource-interface//指定以此IP為源發(fā)送RADIUS報文aaaauthenticationpppdefaultgroupradius//PPP認(rèn)證使用radius認(rèn)證aaaauthorizationnetworkdefaultgroupradius//授權(quán)networkRadius認(rèn)證效勞器配置如圖4-7所示：圖4-7AAA效勞器配置信息OSPF配置R2、R3參考以下R1做相應(yīng)配置intloopback0//建立回環(huán)地址Routerospf10//開啟ospf進(jìn)程號10network55area0//全局管理network10.2area0network10.4area0iproutede0/0/0//設(shè)置進(jìn)入pppoe地址池的路由信息。路由表生成如圖4-8所示圖4-8OSPF配置生效獲取路由表信息vlan配置enconftvlan5//創(chuàng)立vlan5nametech//命名為techvlan6//創(chuàng)立vlan6namepor//命名為poriprangefa0/1-fa0/5進(jìn)入端口fa0/1-fa0/5接口配置模式swaccvlan5//更改模式為access分配入vlan5iprangefa0/6-fa0/10swaccvlan6//更改模式為access分配入vlan6*其他位置作相應(yīng)配置4.4訪問控制列表技術(shù)實現(xiàn)4.4.1路由器ACL配置及應(yīng)用路由器ACL配置如下：Network(config)#IPaccess-listExtendedDeny_AccessNetwork_RT(config-ext-nacl)#denytcpanyhost90eqwwwNetwork_RT(config-ext-nacl)#denytcpanyhost91eqwwwNetwork_RT(config-ext-nacl)#denytcpanyhost90eqtelnetNetwork_RT(config-ext-nacl)#denytcpanyhost91eqtelnetNetwork_RT(config-ext-nacl)#permitipanyanyNetwork(config)#IPaccess-listExtendedPermit_AccessNetwork_RT(config-ext-nacl)#permittcp55host90eqwwwNetwork_RT(config-ext-nacl)#permittcp55host91eqwww55host90eqtelnet55host91eqtelnetNetwork_RT(config-ext-nacl)#denytcpanyhost90eqwwwNetwork_RT(config-ext-nacl)#denytcpanyhost91eqwwwNetwork_RT(config-ext-nacl)#denytcpanyhost90eqtelnetNetwork_RT(config-ext-nacl)#denytcpanyhost91eqtelnetNetwork_RT(config-ext-nacl)#permitipanyanyNetwork(config)#intfa0/0Network_RT(config-if)#ipaccess-groupPermit_AccessinNetwork_RT(config-if)#ipaccess-groupDeny_AccessinNetwork_RT(config-if)#ipaccess-groupDeny_AccessinNetwork(config)#iNetwork_RT(config-if)#ipaccess-groupDeny_AccessinNetwork_RT(config-if)#ipaccess-groupDeny_AccessinNetwork_RT(config-if)#ipaccess-groupDeny_AccessinNetwork(config)#intfa2/0Network_RT(config-if)#ipaccess-groupPermit_Accessin4.4.2三層交換機(jī)ACL配置及應(yīng)用SW1(config)#IPaccess-listExtendedACLSW1(config-ext-nacl)#permittcp55hosteqw